Neues Schweizer Datenschutzgesetz

Ab wann das neue Schweizer Datenschutzgesetz in Kraft tritt ist noch offen. Voraussichtlich ist es ab Mitte 2022 soweit. Was es bezweckt ist jedoch klar: es soll den Schutz der Persönlichkeit und die Grundrechte von natürlichen Personen stärken.

Was es im Grundsatz aus Sicht der Informationssicherheit bedeutet:

Privacy by Design

Die Datenbearbeitung ist ab der Planung so zu gestalten, dass Datenschutzvorschriften und Bearbeitungsgrundsätze eingehalten werden. Technische & Organisatorische Massnahmen müssen dem Stand der Technik entsprechen.

Privacy by Default

Standardmässig dürfen nur personenbezogene Daten erhoben und verarbeitet werden, die für den jeweiligen spezifischen Zweck der Verarbeitung notwendig sind. Voreinstellungen der involvierten Systeme (z.B. Software) müssen entsprechend festgelegt sein.

Meldepflicht

Jede Verletzung der Datensicherheit, die voraussichtlich zu einem hohen Risiko für die Persönlichkeitsrechte der betroffenen Personen führt, muss neu dem EDÖB gemeldet werden (Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter).

Auskunfts- und Informationspflicht

Der Verantwortliche muss die betroffenen Personen unter anderem über seine Identität, seine Kontaktdaten, den Bearbeitungszweck sowie die Empfänger der Daten informieren. Auskunftsbegehren müssen umfassender beantwortet werden, als das heute der Fall ist.

Datenschutz-Folgenabschätzung

Wenn eine beabsichtigte Datenbearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung erstellen.

Strafbarkeit

Vorsätzliches Handeln oder Unterlassen können mit Bussen von bis zu CHF 250’000 bestraft werden. Strafbar ist dabei grundsätzlich die verantwortliche natürliche Person. Strafbar ist beispielsweise auch die Nichteinhaltung der Mindestanforderungen an die Datensicherheit.

Sie wollen mehr dazu wissen? Unsere GRC-Experten sind gerne für Sie da.